InfectedSlurs 殭屍網路利用零日 RCE 漏洞

Akamai 發現了一個最近發現的名為 InfectedSlurs 的基於 Mirai 的 DDoS 殭屍網絡，該殭屍網絡積極利用兩個零日漏洞來感染路由器和錄影機 (NVR) 設備。

儘管研究人員在2023 年10 月檢測到該殭屍網絡，但他們懷疑其活動至少可以追溯到2022 年。儘管向各自的供應商報告了這兩個漏洞，但修復程序仍計劃於2023 年12 月發布。

10 月，Akamai 的安全情報回應團隊 (SIRT) 觀察到針對該公司蜜罐的異常活動，特別是針對不常用的 TCP 連接埠。

Akamai 發布的分析顯示，2023 年 10 月下旬，他們發現針對很少使用的 TCP 連接埠的蜜罐活動略有增加。截至 2023 年 11 月 9 日，目標設備身份不明，探測涉及低頻嘗試。此方法涉及透過 POST 請求啟動身份驗證，然後在身份驗證成功後進行命令注入利用。

Akamai 並未透露受影響供應商的名稱。研究人員發現，該機器人還利用預設管理員憑證來安裝 Mirai 變體。對該活動的進一步調查顯示，該殭屍計畫的目標是為飯店和住宅應用設計的無線 LAN 路由器。

基於 JenX 的 InfectedSlurs

InfectedSlurs 植根於 JenX Mirai 惡意軟體變體，該變體於 2018 年利用 Grand Theft Auto 電玩社群滲透裝置。 Akamai 聲稱 InfectedSlurs 程式碼與原始 Mirai 殭屍網路的程式碼非常相似。

專家指出，2023 年10 月活動中使用的變種與2023 年4 月使用的Mirai 變種具有相同的功能和內存位置。此外，包括ailBot Mirai 變種在內的其他殭屍網絡利用了2023 年10 月活動中使用的命令與控制(C2) 基礎設施。這次活動。研究人員還從臭名昭著的 DDoS 市場頻道 DStatCC 中已刪除的 Telegram 用戶那裡發現了對某些 C2 基礎設施的引用。

Akamai 的 SIRT 正在與 CISA/US-CERT 和 JPCERT 合作，向供應商通知受影響的設備。為了讓供應商有時間實施補丁，詳細資訊並未公開。然而，由於這些漏洞被積極利用，該報告包含了 Snort 和 YARA 規則，以幫助防禦者識別其環境中的利用嘗試和潛在感染。